ที่มาภาพ: The Hacker News
แฮกเกอร์เกาหลีเหนือแปลงเครื่องมือพัฒนาเป็นช่องทางส่งมัลแวร์
⚡ สรุป 30 วิ
Proofpoint พบแคมเปญฟิชชิงใหม่ที่หลอกนักพัฒนาผ่านอีเมลสรรหาและรีวิวโค้ด พร้อมไฟล์หรือ link ที่ฝังมาลแวร์. กลุ่ม Contagious Interview…
การวิจัยด้านความปลอดภัยไซเบอร์ของ Proofpoint เผยให้เห็นสองแคมเปญฟิชชิงใหม่ที่มุ่งเป้าไปยังนักพัฒนาโดยใช้ธีมการสรรหาและการตรวจสอบโค้ด รายการเหล่านี้แสดงลักษณะคล้ายกับกลุ่มภัยคุกคามของเกาหลีเหนือที่รู้จักในชื่อ Contagious Interview (หรือ Famous Chollima, HexagonalRodent, Void Dokkaebi) การใช้เครื่องมือของนักพัฒนามาเป็นช่องทางส่งมลพิษทำให้ความเสี่ยงต่อซัพพลายเชนซอฟต์แวร์เพิ่มสูงขึ้นอย่างมีนัยสำคัญ
Overview
กลุ่มผู้โจมตีได้ออกอีเมลฟิชชิงที่อ้างว่ามาจากบริษัทสรรหานักพัฒนา หรือจากผู้จัดการโครงการที่ต้องการให้ทำการรีวิวโค้ด โดยอ้างว่าไฟล์แนบหรือลิงก์ที่ให้มานั้นเป็นส่วนหนึ่งของงานใหม่หรือการอัปเดตโค้ดที่สำคัญ ผู้รับอีเมลที่เชื่อถือและดาวน์โหลดไฟล์เหล่านั้นจะถูกติดตั้งมัลแวร์ที่ซ่อนอยู่ภายในสคริปต์หรือไฟล์ไบนารีที่ดูเหมือนโค้ดจริง
จากการวิเคราะห์ของ Proofpoint พบว่าแคมเปญเหล่านี้ใช้ โครงสร้างอีเมลแบบมืออาชีพ พร้อมโลโก้บริษัทและข้อมูลติดต่อที่ดูเหมือนจริง เพื่อเพิ่มความเชื่อถือ การส่งอีเมลมักจะมุ่งเป้าไปยังผู้สมัครงานหรือผู้พัฒนาที่เคยแสดงความสนใจในตำแหน่งงานเทคโนโลยีบนแพลตฟอร์มสาธารณะ
Threat Actor Profile
กลุ่มภัยคุกคามที่ถูกระบุว่าเป็น Contagious Interview มีประวัติการดำเนินการที่ต่อเนื่องตั้งแต่ปี 2022 โดยมุ่งเน้นการสกัดกั้นข้อมูลและการทำลายโครงสร้างพื้นฐานของเป้าหมายที่เกี่ยวข้องกับเทคโนโลยี การเปลี่ยนแปลงกลยุทธ์จากการโจมตีโดยตรงไปสู่การใช้ช่องทางของนักพัฒนาแสดงให้เห็นถึงการปรับตัวเพื่อหลบหลีกการตรวจจับ
นามแฝง Famous Chollima, HexagonalRodent, และ Void Dokkaebi เคยปรากฏในรายงานก่อนหน้านี้ที่เชื่อมโยงกับการโจมตีผ่านอีเมลฟิชชิงและการกระจายมัลแวร์บนแพลตฟอร์มคลาวด์ การใช้ชื่อหลายชื่อช่วยให้กลุ่มนี้สามารถทำงานในหลายภาคส่วนโดยไม่เปิดเผยตัวตนอย่างชัดเจน
Campaign Tactics
แคมเปญที่ตรวจพบใช้วิธีการหลายขั้นตอนเพื่อให้มัลแวร์ถึงมือผู้พัฒนา:
- ส่งอีเมลฟิชชิงที่อ้างว่าเป็นการสรรหาตำแหน่งนักพัฒนา หรือคำขอรีวิวโค้ด
- แนบไฟล์หรือให้ลิงก์ไปยังรีโพสิทอรีบน GitHub, GitLab หรือ Bitbucket ที่มีโค้ดที่ดูเหมือนโครงการโอเพนซอร์ส
- ใช้สคริปต์หรือไฟล์บิลด์ที่มีการฝัง payload ของ malware เช่น Remote Access Trojan (RAT) หรือ credential‑stealing tools**
- หลังจากผู้ใช้ดาวน์โหลดและรันไฟล์ มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมของผู้โจมตีเพื่อดาวน์โหลดโมดูลเพิ่มเติม
การใช้แพลตฟอร์มพัฒนาเป็นที่เก็บไฟล์ทำให้การตรวจจับยากขึ้น เนื่องจากไฟล์เหล่านั้นอาจถูกจัดอยู่ในหมวด “source code” ธรรมดาและผ่านการสแกนโดยระบบรักษาความปลอดภัยแบบดั้งเดิมได้ยาก
Technical Indicators
Proofpoint ระบุ Indicators of Compromise (IoC) หลายรายการที่สามารถใช้ในการตรวจจับกิจกรรมของแคมเปญนี้ได้ ได้แก่ ที่อยู่อีเมลของผู้ส่งที่ใช้โดเมนที่ดูเหมือนองค์กรเทคโนโลยี, ลิงก์ URL ที่ชี้ไปยังรีโพสิทอรีที่สร้างใหม่ภายใน 24 ชั่วโมง, และแฮชของไฟล์สคริปต์ที่แนบมาในอีเมล
โดยเฉพาะอย่างยิ่ง ไฟล์สคริปต์ที่มีนามสกุล .js, .ps1, หรือ .sh มักจะมีการอ้างอิงถึง PowerShell หรือ curl เพื่อดึง payload จากเซิร์ฟเวอร์ C2 ที่ใช้โดเมนย่อยของ .cn หรือ .kp** ซึ่งเป็นลักษณะเด่นของกลุ่มผู้โจมตีจากเกาหลีเหนือ
Impact & Mitigation
กลุ่มเป้าหมายหลักของแคมเปญนี้คือนักพัฒนาและผู้ดูแลระบบที่มีสิทธิ์เข้าถึงโค้ดสำคัญ การที่มัลแวร์เข้าถึงเครื่องของพวกเขาอาจทำให้ข้อมูลประจำตัว, คีย์ API, และโค้ดที่ยังไม่เปิดเผยต่อสาธารณะถูกขโมยหรือดัดแปลง ส่งผลต่อความปลอดภัยของซอฟต์แวร์ที่อาจถูกเผยแพร่ต่อผู้ใช้หลายพันคน
เพื่อป้องกันองค์กรควรดำเนินการดังต่อไปนี้:
- ใช้โซลูชันอีเมล security gateway ที่ตรวจจับลิงก์ฟิชชิงและไฟล์แนบที่มีพฤติกรรมน่าสงสัย
- ฝึกอบรมพนักงานโดยเฉพาะทีมพัฒนาให้ตรวจสอบที่มาของอีเมลที่เกี่ยวข้องกับการสรรหางานหรือการรีวิวโค้ดอย่างละเอียด
- เปิดใช้ระบบตรวจสอบความสมบูรณ์ของรีโพสิทอรี (repository integrity monitoring) เพื่อตรวจจับการอัปโหลดไฟล์ที่ไม่ได้รับอนุญาต
Analysis
การเปลี่ยนแปลงของกลุ่ม Contagious Interview ไปสู่การใช้เครื่องมือของนักพัฒนาเป็นช่องทางส่งมลพิษเป็นสัญญาณว่าผู้โจมตีกำลังมองหาวิธีที่ซับซ้อนและยากต่อการตรวจจับมากขึ้น การโจมตีผ่านซัพพลายเชนซอฟต์แวร์ไม่เพียงแต่ทำให้ข้อมูลส่วนบุคคลของผู้พัฒนาถูกละเมิดเท่านั้น แต่ยังอาจส่งผลกระทบต่อผู้ใช้ปลายทางที่อาจได้รับซอฟต์แวร์ที่ถูกดัดแปลงแล้ว
โดยการอ้างอิงถึงหัวข้อการสรรหาและการรีวิวโค้ด ผู้โจมตีสามารถใช้ความเชื่อมั่นของอุตสาหกรรมเทคโนโลยีเป็นอาวุธ การต่อสู้กับภัยคุกคามนี้ต้องอาศัยความร่วมมือระหว่างทีมรักษาความปลอดภัย IT, ทีมพัฒนา, และผู้ให้บริการแพลตฟอร์มโค้ดเพื่อสร้างกระบวนการตรวจสอบที่ครอบคลุมและอัตโนมัติ
Summary
สองแคมเปญฟิชชิงล่าสุดที่มุ่งเป้าไปยังนักพัฒนานั้นแสดงลักษณะคล้ายกับกลุ่มภัยคุกคาม Contagious Interview ของเกาหลีเหนือ การใช้เครื่องมือพัฒนามาเป็นช่องทางส่งมลพิษเพิ่มความเสี่ยงต่อซัพพลายเชนซอฟต์แวร์อย่างชัดเจน การตรวจจับและป้องกันจำเป็นต้องอาศัยมาตรการอีเมล security, การฝึกอบรมพนักงาน, และการตรวจสอบความสมบูรณ์ของรีโพสิทอรีอย่างต่อเนื่อง.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- North Korean Hackers Are Turning Developer Tools Into Malware Delivery Channels
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 16 มิถุนายน 2569 เวลา 02:32
